Adobe Flash Playerに相次ぎゼロデイ脆弱性発覚：今週中にアップデートを準備、それまでは一時的な無効化なども検討を

2015年7月に入り、米アドビ システムズのFlash Playerの深刻なゼロデイ脆弱性が相次いで明らかになった。

[高橋睦美，＠IT]

　2015年7月に入り、米アドビ システムズのFlash Playerに、深刻なゼロデイ脆弱性が複数存在することが相次いで明らかになった。中には、悪用されるとリモートから任意のコードを実行される恐れがあるものも含まれており、セキュリティ組織・企業が注意を呼び掛けている。

　2015年7月13日の時点で、新たに明らかになったゼロデイ脆弱性（CVE-2015-5122/5123、APSA15-04）の影響を受けるのは、

• Adobe Flash Player 18.0.0.203以前（Windows版ならびにMacintosh版）
• Adobe Flash Player 18.0.0.204以前（Linux版Google Chrome用）
• 延長サポート版Adobe Flash Player 13.0.0.302以前（Windows版ならびにMacintosh版）
• 延長サポート版Adobe Flash Player 11.2.202.481以前（Linux版）

となっている。

　具体的には、Flash PlayerのActionScript 3に、解放済みメモリ使用（use-after-free）の不備に起因する脆弱性がある。悪意あるWebサイトに誘導されるといった形で悪用されると、アクセスしただけでアプリケーションが異常終了したり、攻撃者によってパソコンが制御され、悪意あるソフトウエアをインストールされたり、重要な情報を盗み取られるといった被害につながる恐れがある。

　アドビ システムズでは、米国時間7月12日の週に、この脆弱性を修正するセキュリティアップデートを公開する予定だ。だがそれまでの間は、Adobe Flash Playerを一時的に無効化したり、アンインストールしたりする、あるいはマイクロソフトの「Enhanced Mitigation Experience Toolkit（EMET）を適用するといった緩和策を実施するしかない状態だ。

　一連のゼロデイ脆弱性は、イタリアのセキュリティ企業、Hacking Teamから流出した大量の情報の中に含まれていたことから明らかになった。これに先立つ7月8日には、同じくFlash PlayerのActionScript 3のうち、ByteArrayクラスの解放済みメモリ使用（use-after-free）に不備があるという脆弱性（CVE-2015-5119、APSB15-16）を修正するアップデートが公開されたばかりだった。

　アドビ システムズによると、既にこの脆弱性を悪用するコンセプト実証コードの存在が確認されたという。またトレンドマイクロは、Hacking Teamから情報が流出する前の7月1日の時点で、日本と韓国のユーザーを対象にした、APSB15-16を悪用する攻撃を確認していたという。

　情報処理推進機構（IPA）やソフトバンク・テクノロジーなど複数のセキュリティ企業では、Hacking Teamから流出した情報が一般に入手可能なことを踏まえると危険性は高いとし、パッチが公開されるまでの間、Flash Playerのアンインストールや無効化といった手段を検討するよう、方法を紹介して注意を呼び掛けている。